Станет ли идентификация по системе видеосвязи востребованной финансовой услугой в период временной самоизоляции населения?
17.04.2020 НСФР на основе предложений участников Экспертной группы при Комитете Совета Федерации Федерального Собрания Российской Федерации по бюджету и финансовым рынкам по вопросам ПОД/ФТ, внутреннего контроля и регуляторного (комплаенс) риска подготовил проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации".
Законопроект, направленный в Государственную Думу и Совет Федерации, предусматривает внесение изменений в Федеральный закон от 07.08.2001 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", Федеральный закон от 02.12.1990 № 395-1 "О банках и банковской деятельности" и Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" в части урегулирования возможности использования систем видеосвязи для проведения проверки личности физического лица с целью проведения его идентификации и заключения договоров банковского обслуживания по ее результатам.
Вместе с тем сама процедура идентификации (включающая проверку достоверности документа, в т.ч. — с использованием государственных реестров выдачи паспортов и информационных систем, перечней Росфинмониторинга и списков), требующаяся при открытии счета, должна проводиться в стандартном режиме.
В ответ на предложения банковского сообщества Банк России вел ряд послаблений и сообщил, что не будет применять до 1 июля 2020 года штрафные санкции при открытии счета без личного присутствия физического лица только в случае, если цель открытия счета связана осуществлением или получением социально-значимых платежей (например, алиментов, пенсий, стипендий, иных социальных выплат, страховых возмещений, платежей по ипотечным кредитам*). Также Банк России разрешил открывать счета юридическим лицам и индивидуальным предпринимателям для целей кредита на неотложные нужды для поддержки и сохранения занятости (на покрытие расходов, связанных с выплатой заработной платы и обязательными начислениями на нее)**.
Финансовые организации высоко оценили предложения Банка России на состоявшемся 20 апреля 2020 года заседании Экспертной группы по вопросам ПОД/ФТ внутреннему контролю и регуляторному комплаенс риску при ЭКС Совета Федерации по бюджету и финансовым рынкам, вместе с тем представители кредитных организаций отмечают, что предложенный Банком России механизм не снижает рисков финансовых организаций, связанных с установлением отношений по недействительным документам. И вопрос о том, будут ли кредитные организации применять процедуры, рекомендованные в указанных информационных письмах, остается открытым.
Банки отмечают, что процедура дистанционного принятия на обслуживания требует более детальной регламентации именно в Федеральном законе № 115-ФЗ, а интересы стабильности гражданского оборота, единства правоприменительной практики и минимизации регуляторного риска участников финансового рынка требуют законодательного решения указанной проблемы.
В нынешней ситуации, когда иные дистанционные способы проверки личности (например, такие, как биометрическая идентификация) не получили широкого применения ввиду сложности самой процедуры, ее дороговизны для банка в части сбора биометрических данных и отсутствия интереса у большинства клиентов в использовании такой процедуры, необходима альтернатива.
В свете мер социального дистанцирования, в период сложной эпидемиологической обстановки, вызванной распространением смертельно опасной короновирусной инфекции COVID-19, FATF одобряет максимальное использование цифровых форм регистрации новых клиентов и предоставления финансовых услуг. В частности, рекомендуется широкое использование новых технологий, включая Fintech, Regtech и Suptech.
В ряде стран-участников FATF регуляторы банковских рынков давно допускают использование механизма видеоконференции для идентификации клиентов. Кроме того, в рамках 5 директивы ЕС также допускается издание центральными банками европейской федерации циркуляров, определяющих детальную процедуру ее проведения.
Так в соответствии с Уведомлением Банка Португалии № 5/2013, финансовые учреждения вправе использовать процедуры удаленной регистрации, соблюдая при этом требования KYC ("Знай своего клиента"), установленные в рамках действующей системы ПОД/ФТ. Регулятор так же признал допустимым в соответствии с Инструкцией № 9/2017 дистанционное осуществление подтверждения идентификации в соответствии с предписанными правовыми процедурами KYC посредством видеоконференции.
Отдельного внимания заслуживает решение Федерального финансового надзорного органа Германии (BaFin), который первым издал широко используемый Циркуляр № 3/2017: "Процедуры видео-идентификации", регламентирующий видео-идентификацию и предназначенный для широкого круга финансовых организаций (кредитных организаций, учреждений финансовых услуг, платежных учреждений, учреждений, связанных с электронными деньгами, компаний по управлению активами, филиалов компаний и иностранных управляющих компаний, страховых организаций и других).
Процедуры видеоидентификации европейских банков содержат четкий порядок действий.
1. Идентификация обученными сотрудниками.
Видео-идентификация может проводиться только специально обученными сотрудниками субъекта регулирования или третьим лицом, которому субъект регулирования передал требование идентификации клиента в соответствии с установленным законодательством по ПОД/ФТ. Дальнейшее делегирование данных полномочий или передача или привлечение третьей стороны еще одной третьей стороны не разрешено.
В этой связи, обученные сотрудники должны быть ознакомлены с особенностями документов, разрешенных для использования в процедуре видео-идентификации в процессе идентификации лица, которое может быть проверено посредством упомянутой видео-идентификации (включая применимые методы проверки), а также с общепринятыми методами подделки документов.
Обучающие мероприятия должны повторяться не реже одного раза в год или по мере необходимости.
2. Условия проведения.
Во время процесса идентификации сотрудники организации должны находиться в отдельных помещениях с ограниченным доступом.
3. Согласие.
В начале видео-идентификации лицо, которое будет идентифицировано, должно дать свое явное согласие на проведение процесса идентификации, а также фотографирования или скриншотов данного лица и его удостоверения личности. Данное согласие должно быть явно выражено и зарегистрировано.
4. Технические и организационные требования.
Видео-идентификация должна выполняться в режиме реального времени и без перерыва. Должна быть адекватно обеспечена целостность и конфиденциальность аудиовизуального общения между работником и идентифицируемым лицом.
Качество изображения и звука должны быть достаточными, чтобы провести однозначную идентификацию на основе всех проверок. В частности, соответствующие меры включают в себя проверки элементов защиты документа, а также проверки того, был ли документ поврежден или подвержен манипуляциям. Изображение должно позволять различать такие элементы, как гильоширные структуры изображения и микропечать.
В процессе передачи видео соответствующий сотрудник должен создавать фотографии (стоп-кадры), которые будут четко показывать идентифицируемое лицо, а также лицевую и обратную сторону документа, удостоверяющего личность, используемого для целей идентификации и информацию, содержащуюся в этом документе.
5. Разрешенные удостоверения личности.
К данной категории относятся документы, удостоверяющие личность, с функциями защиты, которые являются достаточно стойкими к подделке, четко идентифицируемыми и поэтому их можно проверить визуально, а также которые имеют машиночитаемую зону.
6. Проверка документа, удостоверяющего личность.
Для установления личности человека, подлежащего идентификации, на основании разрешенного удостоверения личности, работник финансового учреждения должен прежде всего убедиться в том, что документ, используемый в качестве удостоверения личности, содержит оптические элементы защиты, визуально идентифицируемые в белом свете, который обычно имеют документы такого типа.
Срок действия представленного документа, удостоверяющего личность, не должен противоречить нормам данных сроков для документов, удостоверяющих личность такого рода.
7. Проверка идентифицируемой личности.
Сотрудник должен убедиться, что фотография и описание в используемом удостоверении личности соответствует человеку, который будет идентифицирован. Фотография, дата выпуска документа и дата рождения также должны быть проверены на соответствие.
Посредством диалога и наблюдений, сделанных во время процедуры идентификации, работник организации должен выявить намерения потенциального клиента, а также убедиться в:
- достоверности информации, содержащейся в удостоверении личности;
- достоверности информации, предоставляемой лицом, которое будет идентифицировано во время интервью.
Сотрудники должны уметь определять, что идентифицируемое лицо приобретает соответствующий продукт по собственному желанию (риск, связанный с фишингом, социальной инженерией, давление со стороны другого человека и т.д.).
8. Прекращение видео-идентификации.
Если визуальная проверка, описанная выше, невозможна (например, из-за плохого освещения или плохого качества передаваемого изображения) и/или если устное общение с идентифицируемым лицом невозможно, то процесс идентификации должен быть прерван. То же самое относится к ситуациям любого несоответствия или неопределенности.
В таких случаях возможна идентификация с помощью других процедур, например, разрешенных в рамках ПОД/ФТ.
9. Передача последовательности чисел.
Во время видео-передачи идентифицируемое лицо должно ввести онлайн последовательность чисел, которая действительна только для установленной цели. Данная последовательность генерируется и централизованно доставляется идентифицируемому лицу по электронной почте или SMS сотрудником организации. Таким образом, данная последовательность чисел должна вернуться к сотруднику в электронном виде. При условии успешного подтверждения последовательности в системе процедура идентификации завершена.
10. Хранение и запись.
Весь процесс видео-идентификации на всех его отдельных этапах должен быть записан и сохранен субъектом регулирования или третьим лицом, которому субъект регулирования делегировал процедуру идентификации в соответствии с требованиями ПОД/ФТ. Поэтому требования к документации включают как визуальную и звуковую записи, так и необходимость сохранения всей процедуры, на которую дало согласие лицо, подлежащее идентификации.
Современная экономическая модель цифровой экономики требует расширения дистанционных каналов предоставления финансовых услуг для населения. В некоторых странах Таможенного союза (например, в Казахстане) тоже стали внедрять процедуры видеоидентификации.
Сейчас необходима временная процедура проверки личности по системе видеосвязи на период самоизоляции, чтобы дать возможность дистанционного установления отношений банка и клиента в ситуации, когда клиент по объективным причинам не может прийти в банк. По этой причине мы предлагаем скорее принять закон, позволяющий проверять личность физического лица по системе видеосвязи.
Банк России должен быть наделен не только правом определять порядок самой процедуры проверки личности физического лица по видеосвязи и возможные риски при ее проведении, но также и правом устанавливать ограничения при ее проведении (как в отношении категорий клиентов, режима использования счетов, так и в отношении организаций, которые могут применять такой способ проверки личности клиентов), что , в свою очередь, позволит снизить риски мошенничества.
* Информационное письмо от 10.04.2020 № ИН-014-12/62
**Информационное письмо от 17.04.2020 № ИН-014-12/74